技术文章—软件合规性团队应借鉴DevSecOps实践

分享到: 微博; QQ; 微信; LinkedIn

尽管软件测试对于合规性至关重要，但当测试工具无法跟上现代软件开发的速度时，开发人员也会感到沮丧。本文将为您解析如何在不影响软件开发速度的情况下进行有效的软件合规性测试。

许多人认为应用安全仅仅应该是安全团队的责任。然而，虽然安全专家可以对此做出贡献，开发人员通常是唯一具备修复软件安全漏洞的技术能力的人。软件合规性也是如此。归根结底，只有开发人员才能构建符合特定软件标准的应用程序。

考虑到开发团队的紧迫期限，给他们额外的职责可能会带来挑战。为了帮助开发人员在不降低速度的情况下交付安全的应用程序，许多团队采用了DevSecOps，鼓励将自动安全测试集成到每个版本的DevOps工作流程中。

DevSecOps帮助团队更快地交付更安全的软件，但是否是更加符合合规性的软件呢？许多尝试实现软件合规性的团队遇到了与试图实现软件安全性的团队相似的挑战。幸运的是，他们可以采用相似的策略。

DevSecOps的作用是什么？

DevOps工作流程支持快速迭代的软件发布周期，这给软件安全带来了一定障碍。

在保护软件安全的传统方法中，测试是在应用程序构建之后，软件开发生命周期结束之后才进行的。结果，大多数（如果不是全部的话）应用程序同时测试，并且将一长串、令人生畏的安全问题清单发回给开发人员。

然而，许多团队发现这种方法与DevOps不兼容。开发团队没有时间，更不用说预算，来停止他们正在做的事情去处理一大堆表格中的问题。

为了解决这个问题，企业可以通过将安全测试集成到DevOps发布周期更短的、更高频率的反馈循环中，以实现DevSecOps。DevSecOps要求在早期经常执行自动安全测试，而不是在开发人员完成构建应用程序之后运行大型的测试。通过帮助开发人员编入更安全的代码，DevSecOps有助于减少质量保证（QA）必须识别以及发回来的问题数量。

如果开发团队可以将安全测试集成到DevOps工作流程中，为什么不将合规性测试也集成到DevOps工作流程中呢？

如何将DevSecOps实践应用到软件合规性中？

虽然安全测试通常与合规性测试要求不一样的分析方法，但是尝试DevSecOps的开发团队可以使用类似的方法来进行合规性测试。

正如传统的应用安全测试一样，合规性测试通常发生在QA环境中。大致的应用开发和测试流程如下所示：

1. 开发人员编写应用程序的代码

2. QA在开发人员转移到另一个项目时测试代码

3. QA向开发人员发送一份违反合规性的列表，要求他们暂停当前的工作，先解决这些问题

这种合规性测试策略在技术上并没有什么问题。然而，这种方法并不受开发人员欢迎，如果问题列表特别长，对于开发团队来说可谓代价高昂。为了在应用程序完成之前解决更多的合规性问题，团队可以实施受DevSecOps启发的实践，来帮助开发人员在软件开发生命周期(SDLC)早期提交合规性代码。

策略之一是将自动合规性测试集成到DevOps发布周期中。通过定期测试而不是一次性测试应用程序，团队可以减少每个测试周期违规的数量。显然它需要在整个SDLC中进行更高频率的测试，事实证明这种方法比在QA中找到问题更快。

另一种方法是在集成开发环境（IDE）中创建沙箱环境，开发人员可以自己在其中运行测试。在编写代码时测试他们自己写的代码，使开发人员能够编入更清晰、更合规的代码，

因此违规就不太可能出现在QA中或者更糟出现在生产中。这种方法另一个好处是帮助开发人员熟悉可能导致违规行为的代码。

这些识别和解决违规问题的策略并不意味着要取代QA测试。然而，通过将合规性测试集成到SDLC的多个阶段，团队将在QA和开发的反馈循环中看到更少的问题，这将会更好地支持DevOps工作流程。

在现实中又是怎样的情况呢？

就像安全测试一样，将合规性测试集成到DevOps发布周期需要新的技术和工作流程，它们都有不同的学习曲线。

关于技术，静态分析正成为帮助开发团队构建合规应用程序的流行的选择方式。静态分析工具之间的覆盖范围各不相同，但是总体而言，该技术可以在代码质量标准中发现问题，比如MISRA 和CERT C/C++，以及安全标准，比如OWASP Top 10和 PCI DSS。

团队选择的用来解决合规性问题的静态分析工具或者其他的任何技术在他们采用的工作流程中发挥着重要作用。如前所述，那些希望将问题排除在QA之外的人希望找到解决方案从而能够：

1. 将快速反馈循环集成到测试和开发中

2. 在开发人员编写代码时在IDE中扫描代码

在测试和开发之间构建一个持续的反馈循环可能代表了开发人员日常工作的重大转变。

虽然“DevSecOps”并不完全相同，但是受管制行业的开发团队可以通过将合规性测试集成到DevOps发布周期中来获得降低成本的益处。

关键字：DevSecOps 引用地址：技术文章—软件合规性团队应借鉴DevSecOps实践

上一篇：国产嵌入式操作系统技术与产业发展论坛圆满结束
下一篇：SUSE改善现代容器化和云原生应用程序交付体验

海康机器人发布X86开放平台，面向全球用户提供图像采集、数据处理、显示、通讯输出的一体化硬件方案。用户可基于此快速打造内嵌自有算法的智能相机。相机内置 E3845四核1.91GHz ，展现高效的处理能力，基于x86平台的组件化Windows Embedded Standard 7所具有的强大兼容性，可方便、简易地实现算法和移植。丰富的软件支持和API兼容性，让使用不同...

2019年09月10日 | STM32用寄存器点亮LED灯

寄存器：实际上就是cpu里面的东西每个单元都有不一样的功能，根据功能给这些存储单位取别名，这个别名就是我们所说的寄存器。寄存器的映射：给寄存器分配地址的过程就叫作寄存器的映射。新建工程:新建工程需要手动创建main.c.h（头文件）头文件：寄存器的映射如何写寄存器的映射：首先找到需要控制外设的IO口，根据这个IO口去寄存器组织架构寻找需要控制...

2020年09月10日 | 3D视觉与机器人公司视比特完成近亿元A轮融资，和玉资本领投

近日，湖南视比特机器人有限公司（以下简称“视比特”）宣布完成近亿元A轮融资，和玉资本（MSA Capital）领投，图灵创投跟投。本轮融资将用于用户3D视觉软硬件平台标准化、智能化及技术研发、团队扩建、市场推广等方向。视比特创立于2018年8月，是一家深度融合“3D视觉感知与机器人柔性控制交互技术、3D数字孪生与工业闭环控制技术”的高科技公司，由普林...

2021年09月10日 | 骁龙888 Plus助力vivo X70 Pro+探索旗舰5G智能手机新高度

9月9日，vivo X70系列面向全球正式发布。作为一款备受关注的高端旗舰，vivo X70 Pro+采用骁龙888 Plus 5G旗舰移动平台，带来设计、性能、交互的全面升级，实现光学技术和计算摄影的再一次突破，将移动影像带向前所未有的新高度。在专业影像探索之路中，具备顶级性能的底层芯片的支持必不可少。骁龙888 Plus集成的Spectra 580 ISP能够实现高达每秒...

史海拾趣

GSR Technology Ltd公司的发展小趣事

随着数字化时代的到来，GSR Technology Ltd积极响应国家关于数字经济发展的号召，开始推进企业的数字化转型。公司引入先进的智能制造技术，对生产线进行智能化改造，提高了生产效率和产品质量。同时，公司加强数据管理和分析，利用大数据和人工智能技术优化产品设计和生产流程。这一系列的数字化转型措施为公司带来了显著的经济效益和市场竞争力提升。

振宝佳(DMBJ)公司的发展小趣事

随着电子产业的不断发展，SMT贴片技术逐渐成为电子信息产业的支柱技术之一。振宝佳公司紧跟时代步伐，在网络、通信、军事、工业控制以及汽车电子、家电等所有电子领域里全部采用了SMT贴片技术。这一技术的应用不仅提高了产品的集成度和可靠性，也为客户提供了更加优质的产品和服务。

AUSTIN公司的发展小趣事

在合并与合作的背景下，奥斯汀汽车开始注重产品创新和多样化。公司不断推出新的车型，以满足不同消费者的需求。例如，奥斯汀A40和A50等车型在市场上取得了不错的销量。同时，奥斯汀汽车还注重技术研发和创新，不断提升产品的性能和品质。

Gennum ( Semtech )公司的发展小趣事

确保电路中的元件不会因过热而损坏或引发火灾。可以使用散热片、风扇等散热设备来降低元件温度。

EEMB Co Ltd公司的发展小趣事

EEMB集团成立于1995年，初期以外销为主，总部位于武汉东西湖金银湖畔。公司创始人们凭借对电子行业的敏锐洞察力和对锂电池技术的深入研究，决定专注于锂电池的研发与生产。他们组建了一支技术实力强大的研发团队，并开始着手设计和生产高性能的锂电池产品。在初期的几年里，公司逐渐在市场上建立起了一定的声誉，并开始与一些知名的工业企业和设备制造商建立合作关系。

AITSEMI公司的发展小趣事

随着产品线的不断完善，AITSEMI公司开始积极寻求市场机会，并逐步在全球范围内建立销售网络。通过与各大消费电子品牌的紧密合作，AITSEMI的芯片产品成功应用于音频功放和电源管理等领域，为全球消费者提供了更优质的产品体验。同时，公司还积极拓展医疗、工业控制、照明等新兴市场，为公司的持续增长提供了强大的动力。

问答坊 | AI 解惑

03年索尼杯作品本帖最后由 paulhyde 于 2014-9-15 09:09 编辑 03年索尼杯作品 … 查看全部问答∨	偶得共享（续）在网上，再次很偶然得到了一个FLASH： Panasonic Power Management MOSFET Product Training Module. This module……（Flash上都有），这是从实用的和产品介绍的角度来介绍MOSFET的，觉得挺好。虽然用英语，但画面下部就是讲座的“台 ...… 查看全部问答∨
蛋帖~~ 0… 查看全部问答∨	wince 5.0 toolbar 怎么移动，和显示大图标？ C#写了智能应用程序，用了TOOLBAR控件，怎么不能移动，跟菜单重合在一起，也不能显示大图标，在设备里只显示一点图标，大部分被截了，我怎么才能移动改变它的大小呢？谢谢！… 查看全部问答∨
请问WINCE定制的终端系统如何识别U盘，要加入哪些组件才能识别U盘？谢谢！… 查看全部问答∨	各个商家的ARM架构的优缺点瑞萨、飞思卡尔、Microchip、NEC、Atmel等等这些MCU大鳄都拥有自己的ARM架构。如今TI也有自己的架构，而且强劲地发展。请问，这些MCU大鳄们的ARM架构是怎么样的？其各自的优缺点是什么？那位达人可否概况下，谢谢… 查看全部问答∨
我对c8051 pic msp430的比较，还望大虾们给予指正最近我对三种单片机进行了一些了解，对三种单片机的性能进行了对比，希望各位大家给予指导，看我说的对吗？ 1、PIC的特点是不进行简单的累加，他根据内部资源的多少，有120多中型号，而且具有向下兼容性。C8051和MSP430这点相对PIC差了一点。 2、 ...… 查看全部问答∨	【项目外包】256信道语音模块 256信道语音模块项目预算：￥ 15,000~20,000 开发周期：60天项目分类：系统开发件竞标要求：项目标签：无线射频语音传输 ...… 查看全部问答∨
VDD-VSS-VEE-VCC解释一、解释　　VCC：C=circuit 表示电路的意思, 即接入电路的电压；　　VDD：D=device 表示器件的意思, 即器件内部的工作电压；　　VSS：S=series 表示公共连接的意思，通常指电路公共接地端电压；　　VEE：E=electron 表示构成物质的基本粒子 ...… 查看全部问答∨	msp430中断问题当端口发生中断的时候，怎么确定程序进入了哪个中断程序，我在P1.4按下开关之后，程序进入了ISR(CC2520_IRQ, cc2520_port1_interrupt)这个中断，为什么不是ISR(PORT1, irq_p1)中断函数，源程序中写的是ISR(PORT2, irq_p2)，因为我开关接在P1.4所以 ...… 查看全部问答∨

小广播

热门活动

换一批

■有奖直播报名:大联大世平集团&恩智浦 | AI 无所不在，单板电脑也可以

■2024 瑞萨电子MCU/MPU工业技术研讨会——深圳、上海站，火热报名中

■Follow me第二季第4期来啦！与得捷一起解锁蓝牙/Wi-Fi板【Arduino Nano RP2040 Connect】超能力！

■嵌入式工程师AI挑战营（进阶）：基于RV1106部署InsightFace算法，实现多人的实时人脸识别

03年索尼杯作品本帖最后由 paulhyde 于 2014-9-15 09:09 编辑 03年索尼杯作品 … 查看全部问答∨	偶得共享（续）在网上，再次很偶然得到了一个FLASH： Panasonic Power Management MOSFET Product Training Module. This module……（Flash上都有），这是从实用的和产品介绍的角度来介绍MOSFET的，觉得挺好。虽然用英语，但画面下部就是讲座的“台 ...… 查看全部问答∨
蛋帖~~ 0… 查看全部问答∨	wince 5.0 toolbar 怎么移动，和显示大图标？ C#写了智能应用程序，用了TOOLBAR控件，怎么不能移动，跟菜单重合在一起，也不能显示大图标，在设备里只显示一点图标，大部分被截了，我怎么才能移动改变它的大小呢？谢谢！… 查看全部问答∨
请问WINCE定制的终端系统如何识别U盘，要加入哪些组件才能识别U盘？谢谢！… 查看全部问答∨	各个商家的ARM架构的优缺点瑞萨、飞思卡尔、Microchip、NEC、Atmel等等这些MCU大鳄都拥有自己的ARM架构。如今TI也有自己的架构，而且强劲地发展。请问，这些MCU大鳄们的ARM架构是怎么样的？其各自的优缺点是什么？那位达人可否概况下，谢谢… 查看全部问答∨
我对c8051 pic msp430的比较，还望大虾们给予指正最近我对三种单片机进行了一些了解，对三种单片机的性能进行了对比，希望各位大家给予指导，看我说的对吗？ 1、PIC的特点是不进行简单的累加，他根据内部资源的多少，有120多中型号，而且具有向下兼容性。C8051和MSP430这点相对PIC差了一点。 2、 ...… 查看全部问答∨	【项目外包】256信道语音模块 256信道语音模块项目预算：￥ 15,000~20,000 开发周期：60天项目分类：系统开发件竞标要求：项目标签：无线射频语音传输 ...… 查看全部问答∨
VDD-VSS-VEE-VCC解释一、解释　　VCC：C=circuit 表示电路的意思, 即接入电路的电压；　　VDD：D=device 表示器件的意思, 即器件内部的工作电压；　　VSS：S=series 表示公共连接的意思，通常指电路公共接地端电压；　　VEE：E=electron 表示构成物质的基本粒子 ...… 查看全部问答∨	msp430中断问题当端口发生中断的时候，怎么确定程序进入了哪个中断程序，我在P1.4按下开关之后，程序进入了ISR(CC2520_IRQ, cc2520_port1_interrupt)这个中断，为什么不是ISR(PORT1, irq_p1)中断函数，源程序中写的是ISR(PORT2, irq_p2)，因为我开关接在P1.4所以 ...… 查看全部问答∨

对于深度神经网络算法编程入门，请给一个学习大纲以下是适合深度神经网络算法编程入门的学习大纲：1. 理论基础神经网络基础：了解人工神经元、神经网络结构、前向传播、反向传播等基本概念。深度神经网络：了解深度神经网络的概念、结构和优势。2. Python 编程基础Python 语法：学习 Python 的基本 ...… 查看全部问答∨	小学生机器人学习如何入门小学生学习机器人编程和机器人技术的入门可以通过以下步骤进行：了解基础概念：向小学生介绍机器人的基本概念，例如什么是机器人，机器人有哪些不同类型，以及它们在生活中的应用。使用图形化编程工具：引导小学生使用图形化编程工具，例如 Scratch ...… 查看全部问答∨
对于单片机控制入门，请给一个学习大纲以下是针对单片机控制入门的学习大纲：第一阶段：单片机基础知识单片机概述：了解单片机的基本概念、分类、结构和应用领域。单片机工作原理：学习单片机的工作原理，包括指令周期、时钟频率、中断处理等基本概念。单片机编程语言：介绍常用的单片机 ...… 查看全部问答∨	怎么快速入门机器学习快速入门机器学习需要以下步骤和方法：理解基本概念：在开始学习机器学习之前，了解一些基本概念是非常重要的，比如什么是机器学习、监督学习、无监督学习、回归、分类、聚类等。学习数学基础：机器学习涉及到大量的数学知识，包括线性代数、概率论 ...… 查看全部问答∨
对于深度学习机器学习入门，请给一个学习大纲以下是一个深度学习机器学习入门的学习大纲：第一阶段：基础知识Python 编程基础：学习 Python 的基本语法和常用库，如 NumPy、Pandas、Matplotlib。机器学习基础知识：了解机器学习的基本概念、主要任务和常用算法，如监督学习、无监督学习、强化 ...… 查看全部问答∨	初学机器学习看什么书作为电子领域资深人士，初学机器学习时，可以选择一些适合初学者的经典书籍来建立基础。以下是一些推荐的书籍：《统计学习方法》（李航著）：这是一本经典的机器学习教材，介绍了机器学习的基本概念、算法原理和应用实例，适合初学者入门。《机器学 ...… 查看全部问答∨
对于深度学习机器入门，请给一个学习大纲以下是深度学习机器人入门的学习大纲：机器人基础知识：学习机器人的基本概念、分类和应用领域。了解传统机器人的工作原理、结构和控制方式。深度学习基础：理解深度学习的基本原理，包括神经网络结构、反向传播算法等。学习常见的深度学习模型，如 ...… 查看全部问答∨	我想fpga 算法入门，应该怎么做呢？入门 FPGA 算法开发需要掌握一些基本的步骤和技能，以下是一个简单的指南：了解 FPGA 的基本概念：在开始学习 FPGA 算法开发之前，了解 FPGA（Field-Programmable Gate Array）的基本原理和工作方式是很重要的。了解 FPGA 的可编程逻辑单元、时序 ...… 查看全部问答∨
对于smt编程入门，请给一个学习大纲以下是针对 SMT 编程入门的学习大纲：1. 了解 SMT 基础知识学习 SMT（Surface Mount Technology）的基本概念和工艺流程。了解 SMT 部件的分类、特点和应用场景。2. 掌握基本编程语言学习一种常用的编程语言，如 C、C++ 或 Python。理解基本的语法、 ...… 查看全部问答∨	我想google机器学习入门，应该怎么做呢？想要从 Google 的角度入门机器学习，以下是一些步骤和建议：学习基本概念：机器学习是一门涉及统计学、数据挖掘和人工智能等领域的交叉学科。首先，你需要了解监督学习、无监督学习和强化学习等基本概念。掌握数学基础：机器学习涉及大量的数学知 ...… 查看全部问答∨

2019年09月10日 | 技术文章—软件合规性团队应借鉴DevSecOps实践